Der Betreiber, der bloß die Instrastruktur bereitstellt, ist bei einem unberechtigten Zugriff auf ein persönliches E-Mail-Postfach, nicht Verantwortlicher, wenn die erforderlichen Datensicherheitsmaßnahmen gesetzt wurden und er Daten weder übermittelt noch zugänglich gemacht hat.

Nach mehrmaliger Sperre des persönlichen E-Mail-Accounts vermutete der Kunde eine Ransomeware-Attacke und erhob Beschwerde. Insbesondere sah er sich in seinem Recht auf Geheimhaltung und in seinem Recht, keiner automatisierten Entscheidung im Einzelfall unterworfen zu werden, verletzt.

Daraus ergeben sich drei spannende Aussagen für die datenschutzrechtliche Praxis:

🔒 Der Transparenzgrundsatz bezieht sich auf die Datenschutzinformationen und die Mitteilungen nach den Betroffenenrechten, jedoch nicht auf vertraglich zugesicherte Mitteilungen.
🔒 Ein Angriff unbekannter Dritter auf ein E-Mail-Postfach, der zu einem unberechtigten Datenzugriff führt, kann dem Betreiber des Postfachs nicht zur Last gelegt werden, wenn angemessene Sicherheitsmaßnahmen ergriffen wurden.
🔒 Eine automatisierte Einzelfallentscheidung (wie die Sperrung eines E-Mail-Postfachs) kann gerechtfertigt sein, wenn sie für die Erfüllung eines Vertrags erforderlich ist.

Erhalten Sie die Entscheidung des Tages täglich und kostenlos mit Quellenzitat, Direktlink zur Entscheidung und den Rekono-Leitsätzen per E-Mail.